Subiectul Responsabilului cu Protecția Datelor, numit și DPO, este un subiect foarte discutat în rândul celor care doresc să respecte și să aplice corect Regulamentul General privind Protecția Datelor cu caracter personal. De aceea ne-am propus să dezbatem principalele puncte de interes care privesc funcția de DPO, precum și particularitățile pe care le-am întâlnit în România în activitatea noastră ca și DPO externalizat atât pentru instituții publice cât și pentru companii private:

Ce înseamnă DPO? Ce este un responsabil cu protecţia datelor?

Funcția de responsabil cu protecția datelor sau DPO a fost introdusă de GDPR și este una dintre noutățile regulamentului față de fosta directivă privind protecția datelor.

În România ”DPO” s-a tradus și împământenit ca și ”responsabil cu protecția datelor”. Din punctul nostru de vedere este o traducere inexactă. Cuvântul „responsabil” duce cu gândul la persoana care este însărcinată cu implementarea regulamentului, pe când această responsabilitate este a operatorului, respectiv a managementului. Operatorul de date cu caracter personal poate să decidă ca și DPO-ul să aibă un rol și să fie implicat în implementarea Regulamentului General privind Protecția Datelor cu caracter personal. Conform GDPR, DPO-ul este cel care veghează la respectarea protecției datelor cu caracter personal și propune măsuri în vederea alinierii.

Despre protecția datelor cu caracter personal în România poți citi în articolul GDPR România – despre protecția datelor cu caracter personal.

Ce responsabilități și atribuții principale are un DPO, conform GDPR?

În România, din păcate, pozitia responsabilului cu protecția datelor nu este una foarte clară. Pe de o parte primește responsabilități și sarcini din partea managementului operatorilor și pe de altă parte are responsabilități specifice și se bucură de independență prevazută de GDPR. Regulamentul European prevede următoarele sarcini:

  1. facilitează implementarea politicilor și procedurilor interne în domeniul protecției datelor, precum și instruirea angajaților cu privire la responsabilitățile ce le revin;

  2. consilierea personalului și a echipei manageriale în gestionarea incidentelor de securitate a datelor cu caracter personal (ex. abordarea riscurilor de securitate digitală).

    Află care sunt cele mai bune practici în materie de securitate cibernetică recomandate de ENISA, CERT-EU & GDPR Complet

  3. monitorizarea permanentă a proceselor de prelucrare a datelor desfășurate de operator, identificarea zonelor de îmbunătățire și oferirea de suport în implementarea modificărilor necesare pentru a asigura respectarea celor mai înalte standarde de bune practici în domeniul protecției datelor.

  4. analiza solicitărilor venite din partea persoanelor vizate în temeiul RGPD (dreptul de acces, dreptul de a fi uitat, dreptul la rectificarea datelor etc.) și suport în formularea de răspuns.

    Când și în baza cărui temei legal dăm curs unei cereri de acces la date spre exemplu? Dar la o cerere de ștergere? Îi putem da curs în orice condiții? Află din articolul: GDPR – drepturile persoanei vizate. Când răspundem și când nu?

  5. instruirea personalului și a echipei manageriale privind noutățile legislative și bunele practici în domeniul protecției datelor, potrivit specificului activității Operatorului.

  6. elaborarea de puncte vedere pe probleme specifice protecției datelor cu caracter personal

  7. cooperarea cu autoritatea de control – „Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal

Cine e obligat să desemneze un DPO?

Primul pas pe care un operator trebuie să îl facă este să verifice dacă se află într-o situație care îi impune desemnarea și notificarea unui responsabil cu protecția datelor. Din acest punct de vedere Regulamentul General prevede trei situații în care este obligatorie desemnarea unui DPO:

  • reprezentați o autoritate sau un organism public, cu excepția instanțelor care acționează în exerciţiul funcţiei lor jurisdicţionale;
  • sunteți o companie care desfășoară ca activități principale operațiuni de prelucrare, care, prin natura lor, domeniul de aplicare și/sau scopurile lor, necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă ;
  • sunteți o companie care desfășoară activități principale care constau în prelucrarea pe scară largă a unor categorii speciale de date (originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenenţa la sindicate şi prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viaţa sexuală sau orientarea sexuală ale unei persoane fizice) sau a unor date cu caracter personal privind condamnări penale și infracțiuni;

DPO recomandare ANSPDCP

Vezi care sunt cele mai frecvente greșeli făcute în implementarea GDPR.

Decizia de desemnare a responsabilului cu protecția datelor (DPO)

În cazul autorităților publice, numirea în funcţiile publice pentru care se organizează concurs în condiţiile Legii nr. 188/1999, art. 58 alin. (1) lit. c) (organizat de către autorităţi şi instituţii publice, cu avizul Agenţiei Naţionale a Funcţionarilor Publici, pentru ocuparea funcţiilor publice de execuţie generale şi specifice) se face prin actul administrativ (decizie) emis de conducătorii autorităţilor şi instituţiilor publice din administraţia publică centrală şi locală care au organizat concursul. Conform art. 62 alin. (4-7) din Legea nr. 188/1999, actul administrativ de numire (decizia) are formă scrisă şi trebuie să conţină temeiul legal al numirii, numele funcţionarului public, denumirea funcţiei publice, data de la care urmează să exercite funcţia publică, drepturile salariale, precum şi locul de desfăşurare a activităţii.

În cazul companiilor private, recomandarea este să existe cel puțin avizul directorului adjunct sau, optim, al directorului general privind adoptarea deciziei de angajare pe postul de DPO, deoarece aceasta semnifică conștientizarea managementului companiei asupra importanței și rolului DPO în cadrul companiei.

Dacă faci parte din echipa managerială, îți recomandăm să parcurgi articolul în care am detaliat aspectele manageriale în implementarea GDPR România.

Decizia de desemnare DPO trebuie să conțină un număr de înregistrare, datele de identificare ale persoanei juridice, temeiul legal pentru desemnarea responsabilului, numele persoanei desemnate.

Aceasta se redactează în 2 exemplare.

Mai jos aveți un exemplu de Decizie desemnare DPO în format editabil.

Vă rog să rețineți că pentru a putea avea acces la documente este nevoie să fiți înregistrați și logați în Comunitatea DPO. Pentru a descărca un model de ”Decizia de desemnare a DPO-ului” este nevoie să vă înscrieți aici GRATUIT în Comunitatea DPO.

Model Decizie desemnare DPO ‎

Notificarea responsabilului cu protecția datelor la ANSPDCP

După desemnarea unui responsabil cu protecția datelor, operatorul are obligația de a notifica ANSPDCP cu privire la acest aspect. Recomandarea noastră este ca datele de contact are DPO-ului să fie unele generice și special atribuite acestei funcții, de ex: dpo@operator.ro. Astfel, în eventualitatea schimbării persoanei desemnate, să nu mai fie necesară modificarea acestora pe site, în documentele companiei / instituției, etc.

Notificarea responsabilului cu protecția datelor se face pe site-ul Autorității, prin completarea formularului declarare responsabil cu protecția datelor .

Pentru a avea dovada notificării, vă rugăm sa faceți o captură de ecran (printscreen) a mesajului de confirmare.

În cazul în care doriți să schimbați persoana notificată, acest lucru se face prin suprascrierea notificării. Astfel veți completa din nou acel formular cu datele noi apărute.

Ai nevoie de ajutor în implementarea GDPR?
Apelează la serviciile noastre de consultanță GDPR online.

  • Îți evaluăm riscurile în cel mai mic detaliu

  • Te asistăm pas cu pas în implementare

  • Îți instruim angajații care prelucrează date

  • Îți oferim proceduri și documente tipizate

Conflictele de interese în desemnarea unui DPO (responsabil cu protecția datelor)

Atunci când numim un DPO sau Responsabil cu protecția datelor, în primul rând trebuie să avem în vedere conflictul de interese. Dacă responsabilul cu protecția datelor îndeplinește și altă funcție, aceasta din urmă nu trebuie să fie una de conducere.  Potrivit art. 38, alin. (3) RGPD, Operatorul se asigură că responsabilul cu protecția datelor nu primește niciun fel de instrucțiuni în ceea ce privește îndeplinirea acestor sarcini.

Nici un șef de serviciu, compartiment sau membru al echipei manageriale nu poate, în temeiul vreunui regulament intern de organizare și funcționare să dea dispoziții DPO în ceea ce privește exercitarea atribuțiilor sale.

Astfel ar putea apărea situația în care, în calitate de DPO, persoana în cauză ar trebui să analizeze o situație apărută în urma unei decizii luate de aceeași persoană, dar în exercitarea funcției de conducere.

Mai jos vom exemplifica câteva situații în care apare conflictul de interese în numirea unui DPO:

  1. Administrator sau director general: apare un conflict de interese general, având în vedere și puterea decizională generală cu privire la activitatea unei societăți).
  2. Director financiar: acesta ar putea influenta decizia de a aproba finanțarea unor sau a tuturor măsurilor specifice și necesare pentru conformarea cu cerințele stabilite de legislația privind protecția datelor.
  3. Director sau șef birou resurse umane: poate să influențeze mecanismele de prelucrare a datelor angajaților, foștilor angajați, sau a potențialilor angajați.
  4. Directorul de marketing: poate să influențeze mecanismele de prelucrare a datelor clienților în activitatea de marketing.

Unul din cazurile ilustrative pentru subiectul discutat, este acela al amenzii aplicate de Autoritatea de Protecție a Datelor din Belgia, la data de 28 aprilie 2020, unei companii pe nume Proximus, pentru faptul că Responsabilul cu Protecția Datelor numit se afla în conflict de interese (încălcând prevederile art. 38 alin. (6) din GDPR).

Despre ce este vorba? Ei bine, se pare că operatorul nu a implementat un sistem prin care să prevină conflictul de interese pentru DPO, iar în consecință, a fost numită în funcție o persoană care era deja Directorul Departamentului de Audit Intern, Risc Management și Departamentul de Conformare. În acest sens, Autoritatea, în urma evaluării a concluzionat că angajatul nu putea să își exercite funcția în mod imparțial, independent. Totodată, în decizia de sancționare, Autoritatea a argumentat că DPO-ul nu a fost implicat suficient în discuțiile referitoare la breșele de securitate.

Din analiza problematicii se pare că argumentul operatorului ar fi fost că numirea DPO-ului în această poziție este legală întrucât nu este în nici una din funcții factor de decizie. Cu toate acestea, Autoritatea nu a fost de acord cu acest argument, spunând că fiind implicat Managerul departamentului de auditare, evaluare a riscurilor și conformare, este factorul final de responsabilitate în ceea ce privește activitățile de evaluare a riscurilor în domeniul protecției datelor cu caracter personal. De aici reiese astfel incompatibilitatea.

Prin această numire, Autoritatea a concluzionat de asemenea că operatorul a dat dovadă de un nivel ridicat de neglijență în numirea DPO-ului!

Cuantumul amenzii aplicate este de 50.000 euro.

În România, numărul amenzilor aplicate pentru neconformarea la GDPR este în creștere. Vezi lista actualizată la zi cu amenzile GDPR aplicate în România.

Fișa postului pentru DPO

După ce ați identificat necesitatea numirii unui DPO, ați făcut numirea printr-o decizie și ați notificat Autoritatea, urmează să întocmiți fișa postului.

Dacă ați numit o persoană care are și alte atribuții, atunci este necesară o actualizarea a fișei postului. În cazul în care persoana desemnată îndeplinește doar funcția de DPO, fișa postului este de sine stătătoare.

Articolul 39 alin. (1), lit. a-e) RGPD prevede explicit un minim al sarcinilor responsabilului cu protecția datelor, însă cu caracter principial și sintetic.

În întocmirea fișei de post veți avea în vedere următoarele aspecte:

  1. Responsabilul cu protecția datelor răspunde față de management, conducere
  2. Atribuțiile DPO: Informarea şi consilierea, monitorizarea respectării prevederilor Regulamentului, furnizarea de consiliere la cerere, cooperarea cu autoritatea de supraveghere, asumarea rolului de punct de contact pentru autoritatea de supraveghere etc.
  3. Responsabilitățile DPO: păstrează secretul sau confidențialitatea,
  4. DPO este implicat în mod corespunzător și în timp util în toate aspectele legate de protecția datelor cu caracter personal
  5. DPO răspunde de îmbunătățirea permanentă a pregătirii sale profesionale
  6. DPO folosește timpul de muncă exclusiv pentru îndeplinirea sarcinilor de serviciu

Mai jos aveți un exemplu de Fișă de post a responsabilului cu protecția datelor în format editabil. Vă rog să rețineți că pentru a putea avea acces la documente este nevoie să fiți înregistrați și logați în Comunitatea DPO.

Pentru a descărca un model de ”Fișă de post a responsabilului cu protecția datelor” este nevoie să vă înscrieți aici GRATUIT în Comunitatea DPO.

Model Fișă de post DPO – responsabil cu protecția datelor.

DPO intern sau DPO externalizat?

Modalitățile de desemnare a responsabilului cu protecția datelor în România sunt:

  1. DPO intern: o persoana deja angajată a operatorului. Dacă se numește un DPO intern atunci, în general acest lucru se face prin desemnarea unei persoane prin cumul de funcții. Această numire se face prin modificarea fișei postului prin adăugarea de atribuții și responsabilități specifice.
    • Avantajul unui DPO intern este că acesta va ști cel mai bine situația din compania sau din instituția în care lucrați și va fi în mijlocul situațiilor mereu.
    • Dezavantajele numirii unui DPO intern:
      • există pericolul ca persoana numită să fie în incompatibilitate și astfel numirea să nu fie conformă cu normele GDPR. Astfel, va trebui căutată o altă persoană care să preia această funcție și să se investească în pregătirea profesională a acesteia.
      • un alt dezavantaj al DPO-ului intern este imparțialitatea – sau lipsa acesteia. De exemplu cum să asiguri imparțialitatea Responsabilului cu Protecția Datelor în cazul raportării incidentelor în contextul evaluărilor anuale? Cum ne asigurăm că acel Responsabil cu Protecția Datelor va și aduce la cunoștința managementului un incident de securitate datorat unei erori umane a unui coleg de birou și prieten cu acesta? Aceste aspecte pot pune în dificultate operatorul și să îl expună unor riscuri enorme.
      • aglomerând fișa postului unui angajat cu prea multe sarcini se poate ajunge în situația în care sarcinile să nu mai fie îndeplinite într-un mod eficient. În plus, în lipsa angajatului respectiv un alt angajat trebuie să îi ia locul, deci, și acesta trebuie să aibă toate competențele necesare funcției DPO.
  1. DPO extern: angajarea unei persoane special pentru această funcție sau externalizarea funcției de responsabil cu protecția datelor către o firmă care oferă servicii de DPO externalizat. Acest demers se face printr-un contract de prestări servicii.
    • Avantajele numirii unui DPO extern:
      • Colaborarea cu un furnizor de servicii se face pe baza unui contract în care se stabilesc termenii și condițiile colaborării.
      • Vei avea parte de o colaborare cu profesioniști, deoarece acel furnizor este posibil să îți pună la dispoziție mai multe persoane specializate pe câte o componentă specifică. De exemplu câte o persoană specializată pentru auditare / implementare a standardului – IT, managerial, pe componenta procedurilor, politicilor, a instruirilor. În acest fel, procesul de implementare va fi mult mai rapid și probabil mai bine făcut.
      • Dacă ai nemulțumiri întemeiate legate de furnizor, îl poți schimba foarte rapid, întrerupând contractul. În același timp, se pot cere garanții materiale cu privire la asumarea responsabilității privind  serviciile pe care le oferă, pe când unui angajat nu se pot cere garanții.
      • Un alt avantaj este faptul că furnizorul de servicii este echidistant față de toți factorii implicați în problematici specifice protecției datelor. Odată cunoscute, intuite sau bănuite anumite riscuri, acestea vor fi aduse la cunoștința managementului operatorului în cel mai scurt timp pentru a fi tratate corespunzător.
      • Costurile reduse. Deși poate la prima impresie lucrurile nu par așa, costurile acestei alegeri vor fi mai avantajoase față de costurile implicate de un DPO intern.
    • Dezavantajul numirii unui DPO extern:
      • Furnizorul de servicii nu cunoaște situația operatorului. Probabil va avea nevoie de mai mult timp, poate câteva luni bune pentru a cunoaște particularitățile acesteia, să reușească să auditeze întreaga companie / instituție pentru a-și face o imagine și pentru a reuși să creioneze un plan bine pus la punct de conformare și monitorizare a respectării legislației GDPR pentru operator.

Chiar dacă un operator nu se află în situația de a fi obligat să numească un responsabil cu protecția datelor, regulamentul trebuie respectat. În acest caz se poate desemna intern o persoană, fără a notifica ANSPDCP, care să aibă atribuții în implementarea prevederilor regulamentului GDPR.

Ai nevoie de DPO extern?
Lasă provocările GDPR în seama GDPR Complet – echipă de profesioniști cu expertiză juridică, expertiză în securitate IT și expertiză în managementul afacerilor

  • Exercităm funcția de DPO

  • Audităm și Implementăm

  • Instruim personalul

  • Comunicăm cu autoritatea

Concluzii despre funcția DPO

Funcția DPO este o funcție complexă. Prin simpla numire a unui DPO în instituția pe care o administrezi sau în compania pe care o deții, nu devii conform cu GDPR.  Responsabilul cu Protecția Datelor trebuie să manifeste preocupare constantă pentru îndeplinirea atribuțiilor ce îi revin cu privire la protejarea datelor cu caracter personal ale angajaților, clienților, colaboratorilor, etc. DPO nu este singurul responsabil de toate prelucrările de date și tot ce se întâmplă cu datele personale. El are nevoie de o echipă care să includă specialiști din toate departamentele.

Se întâmplă uneori să te afli în situația în care poate nu ai cunoștințele sau resursele necesare să te ocupi de toate cele menționate mai sus, sau poate dorești să fii ajutat. Noi, echipa GDPR Complet îți oferim consultanță GDPR sau putem chiar să preluăm acest rol pentru tine, prin intermeniul serviciului DPO externalizat. Astfel vom pune la dispoziția operatorului o echipă de profesioniști cu expertiză juridică, IT, managerială care să răspundă tuturor cerințelor GDPR pentru compania sau instituția din care provii.

Află mai multe despre serviciul nostru de DPO externalizat!

Pentru mai multe detalii te rugăm să ne contactezi la: contact@gdprcomplet.ro.